ГОСТ Р ИСО/МЭК 27037-2014
Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме
47 страниц
Предоставляет руководства по конкретным видам деятельности, касающимся обращения со свидетельствами, представленными в цифровой форме, к которым относится идентификация, сбор, получение и сохранение потенциальных свидетельств, представленных в цифровой форме, которые могут иметь доказательную ценность. Стандарт предоставляет руководство по распространенным ситуациям, возникающим в процессе обращения со свидетельствами, представленными в цифровой форме, а также содействует организациям в их дисциплинарных процедурах и в облегчении обмена потенциальными свидетельствами, представленными в цифровой форме, между юрисдикциями.
Идентичен ISO/IEC 27037:2012
Оглавление
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Обозначения и сокращения
5 Общий обзор
5.1 Контекст сбора свидетельств, представленных в цифровой форме
5.2 Принципы, касающиеся свидетельств, представленных в цифровой форме
5.3 Требования к обращению со свидетельствами, представленными в цифровой форме
5.4 Процессы обработки свидетельств, представленных в цифровой форме
6 Ключевые компоненты идентификации, сбора, получения и сохранения свидетельств, представленных в цифровой форме
6.1 История хранения
6.2 Меры предосторожности на месте инцидента
6.3 Роли и обязанности
6.4 Компетентность
6.5 Применение разумной осторожности
6.6 Документирование
6.7 Инструктаж
6.8 Установление приоритетов для сбора и получения свидетельств
6.9 Сохранение потенциальных свидетельств, представленных в цифровой форме
7 Примеры идентификации, сбора, получения и сохранения свидетельств
7.1 Компьютеры, периферийные устройства и цифровые носители данных
7.2 Сетевые устройства
7.3 Принципы сбора, получения и сохранения для ССТV
Приложение А (справочное) Описание основных навыков и компетентности DEFR
Приложение В (справочное) Минимальные требования к документации для передачи свидетельств
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации
Библиография
47 страниц
| Дата введения | 01.11.2015 |
|---|---|
| Добавлен в базу | 21.05.2015 |
| Актуализация | 01.01.2021 |
Этот ГОСТ находится в:
- Раздел Экология
Организации:
| 09.09.2014 | Утвержден | Федеральное агентство по техническому регулированию и метрологии | 1028-ст |
|---|---|---|---|
| Разработан | ООО НПФ Кристалл | ||
| Разработан | ООО ИАВЦ |
Information technology. Security techniques. Guidelines for identification, collection, acquisition and preservation of digital evidence
ГОСТ ИСО/МЭК 17025-2009Общие требования к компетентности испытательных и калибровочных лабораторий. Заменен на ГОСТ ISO/IEC 17025-2019.- ГОСТ Р ИСО/МЭК 17020-2012 Оценка соответствия. Требования к работе различных типов органов инспекции
- ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
Чтобы бесплатно скачать этот документ в формате PDF, поддержите наш сайт и нажмите кнопку:
стр. 1
стр. 2
стр. 3
стр. 4
стр. 5
стр. 6
стр. 7
стр. 8
стр. 9
стр. 10
стр. 11
стр. 12
стр. 13
стр. 14
стр. 15
стр. 16
стр. 17
стр. 18
стр. 19
стр. 20
стр. 21
стр. 22
стр. 23
стр. 24
стр. 25
стр. 26
стр. 27
стр. 28
стр. 29
стр. 30
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
ГОСТРИСО/МЭК 27037— 2014Информационная технологияМЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИРуководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме
Информационная технологияМЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИРуководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме
Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме
ISO/IEC 27037:2012
Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence (IDT)
Издание официальное
Москва
Стандартинформ
2014
Предисловие
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Информационноаналитический вычислительный центр» (ООО «ИАВЦ») и Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 09 сентября 2014 г. Ne 1028-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27037:2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме» (ISO/IEC 27037:2012 «Infonnation technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence»).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты». а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)
О Стандартинформ, 2014
В Российской Федерации настоящий стандарт не может быть полностью или частично воспроизведен. тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
ГОСТ Р ИСО/МЭК 27037—2014
Содержание
1 Область применения.....................................................................................................................................1
2 Нормативные ссылки.....................................................................................................................................1
3 Термины и определения...............................................................................................................................2
4 Обозначения и сокращения..........................................................................................................................4
5 Общий обзор..................................................................................................................................................5
5.1 Контекст сбора свидетельств, представленных в цифровой форме.................................................5
5.2 Принципы, касающиеся свидетельств, представленных в цифровой форме..................................5
5.3 Требования к обращению со свидетельствами, представленными в цифровой форме.................5
5.4 Процессы обработки свидетельств, представленных в цифровой форме.......................................7
6 Ключевые компоненты идентификации, сбора, получения и сохранения свидетельств,
представленных в цифровой форме..........................................................................................................9
6.1 История хранения...................................................................................................................................9
6.2 Меры предосторожности на месте инцидента...................................................................................10
6.3 Роли и обязанности..............................................................................................................................11
6.4 Компетентность.....................................................................................................................................12
6.5 Применение разумной осторожности.................................................................................................12
6.6 Документирование...............................................................................................................................13
6.7 Инструктаж............................................................................................................................................13
6.8 Установление приоритетов для сбора и получения свидетельств..................................................15
6.9 Сохранение потенциальных свидетельств, представленных в цифровой форме.........................15
7 Примеры идентификации, сбора, получения и сохранения свидетельств............................................18
7.1 Компьютеры, периферийные устройства и цифровые носители данных.......................................18
7.2 Сетевые устройства.............................................................................................................................28
7.3 Принципы сбора, получения и сохранения для CCTV......................................................................32
Приложение А (справочное) Описание основных навыков и компетентности DEFR..............................35
Приложение В (справочное) Минимальные требования к документации для передачи
свидетельств........................................................................................................................38
Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов
национальным стандартам Российской Федерации.........................................................39
Библиография.................................................................................................................................................40
Введение
Настоящий стандарт предоставляет руководства по конкретным процессам при обращении с потенциальными свидетельствами, представленными в цифровой форме; этими процессами являются: идентификация, сбор, получение и сохранение потенциальных свидетельств, представленных в цифровой форме. Эти процессы необходимы при проведении расследования и предназначены для поддержки целостности свидетельств, представленных в цифровой форме, т. е. являются приемлемой методикой получения свидетельств, представленных в цифровой форме, которая будет способствовать их допустимости для правовых и дисциплинарных действий, а также для других необходимых случаев. Настоящий стандарт также предоставляет общее руководство по сбору свидетельств, не представленных в цифровой форме, которые могут быть полезны на этапе анализа потенциальных свидетельств, представленных в цифровой форме.
Настоящий стандарт предназначен для предоставления руководства лицам, отвечающим за идентификацию, сбор, получение и сохранение потенциальных свидетельств, представленных в цифровой форме. К таким лицам относятся специалисты «оперативного реагирования» по свидетельствам, представленным в цифровой форме, специалисты по свидетельствам, представленным в цифровой форме, специалисты по реагированию на инциденты и руководители лабораторий судебной экспертизы. Настоящий стандарт обеспечивает уверенность в том. что ответственные лица осуществляют менеджмент потенциальных свидетельств, представленных в цифровой форме, рациональными общепризнанными способами, чтобы систематически и беспристрастно содействовать расследованию, использующему цифровые устройства и свидетельства, представленные в цифровой форме, сохраняя при этом их целостность и подлинность.
Данный стандарт также предназначен для информирования лиц, принимающих решения, которым необходимо определять достоверность передаваемых им свидетельств, представленных в цифровой форме Он применим для организаций, нуждающихся в защите, анализе и представлении потенциальных свидетельств, представленных в цифровой форме. Он важен для директивных органов, которые создают и оценивают процедуры, связанные со свидетельствами, представленными в цифровой форме, часто являющимися частью более крупной совокупности свидетельств.
Упоминаемые в настоящем стандарте потенциальные свидетельства, представленные в цифровой форме, могут быть получены из различных цифровых устройств, сетей, баз данных и т. д. Они относятся к данным, уже имеющим цифровой формат. Настоящий стандарт не пытается охватить вопрос преобразования аналоговых данных в цифровой формат.
Вследствие недолговечности свидетельств, представленных в цифровой форме, необходимо использовать приемлемую методику, обеспечивающую уверенность в сохранении целостности и подлинности потенциальных свидетельств, представленных в цифровой форме. Настоящий стандарт не предписывает использование конкретных инструментальных средств или методов. Ключевыми доверенными компонентами при расследовании являются применяемая во время процесса методика и лица, компетентные в выполнении задач, указанных в методике. Настоящий стандарт не рассматривает методику процессуальных действий, дисциплинарных процедур и других, связанных с ними действий при обращении со свидетельствами, представленными в цифровой форме, которые выходят за рамки идентификации, сбора, получения и сохранения.
Применение настоящего стандарта требует соблюдения национальных законов, правил и предписаний. Он не должен заменять конкретные правовые требования любой юрисдикции. Вместо этого настоящий стандарт может послужить практическим руководством для любых специалистов «оперативного реагирования» по свидетельствам, представленным в цифровой форме, или специалистов по свидетельствам, представленным в цифровой форме, в расследованиях с использованием потенциальных свидетельств, представленных в цифровой форме. Он не распространяется на анализ свидетельств. представленных в цифровой форме, и не заменяет специфичных для юрисдикции требований, которые относятся к таким вопросам, как допустимость, доказательная весомость, обоснованность и другим, регулируемым в судебном порядке ограничениям на использование потенциальных свидетельств, представленных в цифровой форме, в судах общей юрисдикции. Настоящий стандарт может способствовать упрощению обмена потенциальными свидетельствами, представленными в цифровой форме, мееду юрисдикциями. Чтобы поддерживать целостность свидетельств, представленных в цифровой форме, пользователям настоящего стандарта необходимо адаптировать и внести поправки в представленные в настоящем стандарте процедуры на основе правовых требований к свидетельствам в конкретной юрисдикции.
ГОСТ Р ИСО/МЭК 27037—2014
Несмотря на то. что настоящий стандарт не касается вопросов подготовленности к судебным разбирательствам, адекватная подготовленность к судебным разбирательствам может существенно способствовать процессу идентификации, сбора, получения и сохранения свидетельств, представленных в цифровой форме. Подготовленность к судебным разбирательствам - это достижение организацией соответствующего уровня возможностей, который позволяет ей идентифицировать, собирать. получать, хранить, защищать и анализировать свидетельства, представленные в цифровой форме. Поскольку описанные в настоящем стандарте процессы и действия по существу являются реагирующими мерами, используемыми для расследования инцидента после его наступления, готовность к судебным разбирательствам - это упреждающий процесс попытки планирования каких-либо действий со стороны организации до наступления таких событий.
Предоставляя дополнительное руководство по реализации, настоящий стандарт дополняет ИСО/МЭК 27001 и ИСО/МЭК 27002. в частности, требованиями мер и средств контроля и управления, касающимися получения потенциальных свидетельств, представленных в цифровой форме. Кроме того, настоящий стандарт будет иметь применение в контексте, независимом от ИСО/МЭК 27001 и ИСО/МЭК 27002. Настоящий стандарт следует рассматривать совместно с другими стандартами, связанными со свидетельствами, представленными в цифровой форме, и расследованиями инцидентов информационной безопасности.
V
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме
Information technology. Security techniques.
Guidelines for identification, collection, acquisition and preservation of digital evidence
Дата введения — 2015—11—01
1 Область применения
Настоящий стандарт предоставляет руководства по конкретным видам деятельности, касающимся обращения со свидетельствами, представленными в цифровой форме, к которым относится идентификация, сбор, получение и сохранение потенциальных свидетельств, представленных в цифровой форме, которые могут иметь доказательную ценность. Настоящий стандарт предоставляет руководство по распространенным ситуациям, возникающим в процессе обращения со свидетельствами. представленными в цифровой форме, а также содействует организациям в их дисциплинарных процедурах и в облегчении обмена потенциальными свидетельствами, представленными в цифровой форме, между юрисдикциями.
Настоящий стандарт предоставляет рекомендации относительно следующих устройств и (или) функций, используемых при различных обстоятельствах:
- цифровые носители данных, используемые в типовых компьютерах, например, жесткие диски, дискеты, оптические и магнитооптические диски, устройства с аналогичными функциями;
- мобильные телефоны, «карманные» персональные компьютеры, персональные электронные устройства, карты памяти;
- мобильные навигационные системы;
- цифровые фотоаппараты и видеокамеры (включая системы видеонаблюдения);
- типовые компьютеры с сетевыми соединениями;
- сети на основе протоколов TCP/IP и других цифровых протоколов;
- устройства с функциями, аналогичными перечисленным.
Примечание 1- Приведенный выше перечень устройств является примерным и неисчерпывающим перечнем
Примечание 2 -Применение перечисленных выше устройств, которые существуют в различных формах, обусловлено обстоятельствами Например, автомобильная система может включать мобильное навигационное устройство, устройство хранения данных и систему сенсоров
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных документов используют только указанное издание. Для недатированных документов используют самое последнее издание ссылочного документа (с учетом всех его изменений).
Издание официальное
ИСО/ТО 15801 Управление документацией. Хранение информации в электронном виде. Рекомендации по достоверности и надежности (ISO/TR 15801. Document management - Information stored electronically - Recommendations for trustworthiness and reliability)
ИСО/МЭК 17020 Оценка соответствия. Требования к работе различных типов контролирующих органов (ISO/IEC 17020. Conformity assessment - Requirements for the operation of various types of bodies performing inspection)
ИСО/МЭК 17025:2005 Общие требования к компетентности испытательных и калибровочных лабораторий (ISO/IEC 17025:2005. General requirements for the competence of testing and calibration laboratories)
ИСО/МЭК 27000 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (ISO/IEC 27000. Information technology - Security techniques - Information security management systems - Overview and vocabulary).
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 27000, ИСО/МЭК 17020. ИСО/МЭК 17025 и ИСО/ТО 15801. а также следующие термины с соответствующими определениями.
3.1 получение свидетельства (acquisition): Процесс создания копии данных в рамках определенной совокупности.
Примечание - Результатом получения свидетельства является экземпляр потенциального свидетельства, представленного в цифровой форме
3.2 выделенное пространство (allocated space): Область на цифровом носителе, включая основную память, которая используется для хранения данных, в том числе метаданных.
3.3 сбор (collection): Процесс сбора физических элементов, которые содержат потенциальные свидетельства, представленные в цифровой форме.
3.4 цифровое устройство (digital device): Электронное оборудование, используемое для обработки или хранения данных, представленных в цифровой форме.
3.5 свидетельства, представленные в цифровой форме (digital evidence): Информация или данные, хранящиеся или передаваемые в виде двоичного кода, которые можно использовать в качестве доказательства.
3.6 копия свидетельства, представленного в цифровой форме (digital evidence сору): Копия свидетельства, представленного в цифровой форме, которая была создана для поддержки достоверности доказательства посредством включения свидетельства, представленного в цифровой форме, и средства верификации, причем способ верификации может быть встроенным в инструментальные средства, используемые для осуществления верификации, или независимым от них.
3.7 специалист «оперативного реагирования» по свидетельствам, представленным в цифровой форме; DEFR (digital evidence first responder): Физическое лицо, которое уполномочено, обучено и подготовлено действовать первым на месте инцидента, осуществляя сбор и получение свидетельств, представленных в цифровой форме, и которое несет ответственность за обращение с этими свидетельствами.
Примечание - Полномочия, обучение и подготовка являются ожидаемыми требованиями, необходимыми для получения достоверных свидетельств, представленных в цифровой форме, но отдельные обстоятельства могут приводить к тому, что физическое лицо не будет соответствовать всем трем требованиям При этом должны быть рассмотрены местное законодательство, политика организации и конкретные обстоятельства
3.8 специалист по свидетельствам, представленным в цифровой форме; DES (digital evidence specialist): Физическое лицо, которое может выполнять задачи специалиста «оперативного реагирования» по свидетельствам, представленным в цифровой форме, и которое обладает специальными знаниями, навыками и способностями, чтобы разбираться в широком спектре технических вопросов.
Примечание - Специалист по свидетельствам, представленным в цифровой форме, может обладать дополнительными навыками, например, знанием получения свидетельств из сетей. ОЗУ. программных средств операционной системы или из мэйнфрейма
ГОСТ Р ИСО/МЭК 27037—2014
3.9 цифровой носитель данных (digital storage medium): Устройство, на котором могут быть записаны цифровые данные.
(Адаптировано из ИСО/МЭК 10027:1990)
3.10 средство сохранения свидетельств (evidence preservation facility): Безопасная среда или место, где хранятся собранные или полученные свидетельства.
Примечание - Средство для сохранения свидетельств не должно подвергаться воздействию магнитных полей, пыли, вибрации, влаги или любых других факторов внешней среды (таких как экстремальная температура или влажность), которые могут повредить потенциальные свидетельства, представленные в цифровой форме
3.11 значение хэш-функции (hash value): Битовая строка, являющаяся выходным результатом хэш-функции.
(ИСО/МЭК 10118-1:2000)
3.12 идентификация (identification): Процесс, включающий поиск, распознавание и документирование потенциальных свидетельств, представленных в цифровой форме.
3.13 создание образа (imaging): Процесс создания побитовой копии цифрового носителя данных.
Примечание - Побитовая копия также называется физической копией
Пример - При создании образа жесткого диска специалист аоперативного реагирования» по свидетельствам, представленным в цифровой форме, будет также копировать данные, которые были удалены.
3.14 периферийное устройство (peripheral): Устройство, подключенное к цифровому устройству для расширения его функциональных возможностей.
3.15 сохранение (preservation): Процесс поддержки и защиты целостности и (или) исходного состояния потенциальных свидетельств, представленных в цифровой форме.
3.16 достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам.
(ИСО/МЭК 27000:2009)
3.17 повторяемость (repeatability): Свойство процесса получать такие же результаты тестирования в той же тестовой среде (тот же компьютер, жесткий диск, режим работы и т. д.).
3.18 воспроизводимость (reproducibility): Свойство процесса получать такие же результаты тестирования в другой тестовой среде (другой компьютер, жесткий диск, оператор и т. д ).
3.19 повреждение (spoliation): Осуществление или признание осуществления изменения(й) потенциальных свидетельств, представленных в цифровой форме, уменьшающее их доказательную ценность.
3.20 системное время (system time): Время, генерируемое системными часами и используемое операционной системой, а не время, вычисляемое операционной системой.
3.21 фальсификация (tampering): Намеренное осуществление или признание осуществления изменения(й) свидетельств, представленных в цифровой форме (т. е. умышленное или намеренное повреждение).
3.22 метка времени (timestamp): Меняющийся временной параметр, обозначающий момент времени относительно обычного начала отсчета времени.
(ИСО/МЭК 11770-1:1996)
3.23 свободное пространство (unallocated space): Область на цифровом носителе, включая основную память, которая никому не была выделена в операционной системе, и которая доступна для хранения данных, включая метаданные.
3.24 валидация (validation): Подтверждение посредством представления объективных свидетельств того, что требования, предназначенные для конкретного использования или применения, были выполнены.
(ИСО/МЭК 27004:2009)
3.25 функция верификации (verification function): Функция, используемая для подтверждения идентичности двух совокупностей данных.
Примечание 1-Никакие две неидентичные совокупности данных не должны быть представлены идентичными при использовании функции верификации
3
Примечание 2 - Функции верификации обычно реализуются с использованием хэш-функций, таких как MD5. SHA1 ит д, но могут быть использованы и другие методы
3 26 изменчивые данные (volatile data): Данные, которые особенно уязвимы к изменению и могут быть легко модифицированы.
Примечание - Изменение может быть вызвано отключением электропитания или прохождением через магнитное поле К изменчивым данным также относятся данные, меняющиеся при изменении состояния системы Например, данные, хранящиеся в ОЗУ, и динамические IP-адреса
4 Обозначения и сокращения
В настоящем стандарте применены следующие сокращения и условные обозначения:
AVI - Audio Video Interleave (формат файлов для хранения и воспроизведения видеофильмов.
синхронизированных со звуком);
CCTV - Closed Circuit Television (замкнутая телевизионная система; система видеонаблюдения); CD - Compact Disk (компакт-диск);
DEFR - Digital Evidence First Responder (специалист «оперативного реагирования» no свидетельствам, представленным в цифровой форме);
DES - Digital Evidence Specialist (специалист по свидетельствам, представленным в цифровой форме);
DVD - Digital Video/Versatile Disk (цифровой видео/многофункциональный диск);
ESN - Electronic Serial Number (электронный серийный номер);
GPS - Global Positioning System (глобальная система определения местоположения);
GSM - Global System for Mobile Communication (глобальная система мобильной связи);
IMEI - International Mobile Equipment Identity (международный идентификатор мобильного оборудования);
IP - Internet Protocol (протокол Интернет);
ISIRT - Information Security Incident Response Team (группа реагирования на инциденты информационной безопасности);
MD5 - Message-Digest Algorithm 5 (алгоритм свертки (хеширования) сообщения 5);
MP3 - MPEG Audio Layer 3 (формат звуковых файлов с компрессией 3 по технологии MPEG); MPEG - Moving Picture Experts Group (экспертная группа no разработке спецификаций цифрового кодирования видео и аудиосигналов);
NAS - Network Attached Storage (сетевая система хранения данных);
PDA - Personal Digital Assistant ( «карманный» персональный компьютер);
PED - Personal Electronic Device (персональное электронное устройство);
PUK - PIN Unlock Key (ключ разблокировки PIN-кода);
RAID - Redundant Array Independent Disk (матрица независимых дисковых накопителей с избыточностью);
RFID - Radio Frequency Identification (радиочастотная идентификация);
SAN - Storage Area Network (сеть с выделенной зоной хранения данных);
SHA - Secure Hash Algorithm (алгоритм аутентификации и проверки целостности информации); SIM - Subscriber Identity Module (модуль идентификации абонента; SIM-карта);
USB - Universal Serial Bus (универсальная последовательная шина);
Wi-Fi - Wireless Fidelity («беспроводная точность»; технология беспроводного обмена данными);
ДНК - дезоксирибонуклеиновая кислота (Deoxyribonucleic Acid — DNA);
ИБП - источник бесперебойного питания (Uninterruptible Power Supply — UPS);
ЛВС - локальная вычислительная сеть (Local Area Network — LAN);
ОЗУ - оперативное запоминающее устройство (Random Access Memory — RAM);
ПИН - персональный идентификационный номер (Personal Identification Number — PIN);
УФ - ультрафиолетовое излучение (Ultraviolet — UV).
4
ГОСТ Р ИСО/МЭК 27037—2014
5 Общий обзор
5.1 Контекст сбора свидетельств, представленных в цифровой форме
Использование свидетельств, представленных в цифровой форме, может требоваться в целом ряде различных сценариев, каждый из которых характеризуется соотношением между достижением качества доказательств, своевременностью анализа, восстановлением услуг и расходами на сбор свидетельств, представленных в цифровой форме. Поэтому организациям необходим процесс установления приоритетов, идентифицирующий потребности и соотношение качества доказательств, своевременность анализа и восстановления услуг, прежде чем перед DEFR будет поставлена соответствующая задача. Процесс установления приоритетов включает оценивание доступного материала для определения возможной доказательной ценности и порядка, в соответствии с которым должен осуществляться сбор/получение/сохранение потенциальных свидетельств, представленных в цифровой форме. Установление приоритетов осуществляется для сведения к минимуму риска повреждения потенциальных свидетельств, представленных в цифровой форме и максимального увеличения доказательной ценности собранных потенциальных свидетельств, представленных в цифровой форме.
5.2 Принципы, касающиеся свидетельств, представленных в цифровой форме
В большинстве юрисдикций и организаций свидетельства, представленные в цифровой форме, обусловлены тремя основополагающими принципами: значимость, достоверность и достаточность. Эти три принципа важны для всех расследований, а не только для случаев, когда свидетельства, представленные в цифровой форме, могут быть приемлемы в суде. Свидетельства, представленные в цифровой форме, являются значимыми, если они подтверждают или опровергают элемент конкретного расследуемого дела. Хотя детальное определение «достоверности» различается в разных юрисдикциях, широко поддерживается общее значение принципа «обеспечение уверенности в том, что свидетельства, представленные в цифровой форме, являются такими, как заявлено». DEFR не всегда необходимо собирать все данные или делать полную копию исходного свидетельства, представленного в цифровой форме. Во многих юрисдикциях концепция достаточности означает, что DEFR нужно собрать потенциальные свидетельства, представленные в цифровой форме, для получения возможности адекватного изучения или расследования элементов дела. Понимание этой концепции важно для DEFR. чтобы он мог надлежащим образом устанавливать приоритеты в своей работе. когда возникает вопрос времени или расходов.
Примечание - DEFR должен обеспечивать уверенность в том. что сбор потенциальных свидетельств. представленных в цифровой форме, осуществляется в соответствии с законами и предписаниями местной юрисдикции, как того требуют конкретные обстоятельства
Все процессы, которые будут использоваться DEFR и DES, должны быть валидны (утверхщены) до использования. Если валидация проводится в общем, то DEFR и DES должны подтвердить, что валидация является соответствующей для конкретного использования процессов, среды и обстоятельств. при которых процессы собираются использовать DEFR и DES также должны:
a) документировать все действия:
b) определять и применять метод установления точности и достоверности копии свидетельств, представленных в цифровой форме, по сравнению с исходным источником:
c) сознавать, что сохранение потенциальных свидетельств, представленных в цифровой форме, не всегда может быть проведено без изменений.
5.3 Требования к обращению со свидетельствами, представленными в цифровой форме
5.3.1 Общая информация
Принципы, изложенные в 5.2. могут быть выполнены следующим образом:
- значимость: должна быть возможна демонстрация того, что полученный материал является значимым для расследования, т. е. он содержит ценную информацию для содействия расследованию конкретного инцидента и существует достаточное основание для его получения. Для проверки и обоснованности DEFR должен быть способен описать соблюдаемые процедуры и объяснить, как было принято решение о получении каждого элемента;
- достоверность: все процессы, используемые при обращении с потенциальными свидетельствами, представленными в цифровой форме, должны быть контролируемыми и повторяемыми. Результаты применения таких процессов должны быть воспроизводимыми;
5